Безопасно ли запускать kubernetes с публичным ip?

Question

Я новичок в kubernetes. так может быть нубский вопрос.

Мне интересно, безопасно ли запускать кластер kubernetes через Интернет (подключите главный узел <-> к общедоступному ip).

Достаточно ли безопасно и для производства? Если это так, можно создать серверы другого поставщика (например, AWS) и заставить его работать как узел?

Большое спасибо.

Answer 1

Может быть общее несогласие с тем, что работать над публичными пользователями небезопасно, но вот несколько советов:

• Заявление о том, что любые модули, открывающие порты, по умолчанию являются общедоступными , что в принципе неверно. у каждого модуля есть свое собственное сетевое пространство имен, поэтому, несмотря на то, что он прослушивает 0.0.0.0 для захвата любого трафика, это происходит исключительно внутри этого собственного пространства имен, что никоим образом не является видимым снаружи. До тех пор, пока вы не сконфигурируете службу kubernetes типа NodePort или LoadBalancer для явной демонстрации этой службы (и ее портов поддержки) в сети. И вы будете управлять этим даже с помощью сетевых политик.
• Трафик между модулями в обычной настройке kubernetes проходит через оверлейную сеть, например, т.е. фланель, бязь или плетение. Weave Net, поддерживает явное шифрование трафика, чтобы сделать оверлей более безопасным для связи по общедоступной сети.
• Абсолютно хорошо выставить мастера в общедоступном Интернете, как вы это сделали бы с любым другим сервером. Он защищен аутентификацией / шифром. Очевидно, что регулярное усиление безопасности должно быть на месте, но это относится к любой системе, обращенной к Интернету. Ваши мастера также будут запускать такие вещи, как планировщик и контроллер-менеджер, все локально, так что на самом деле это не проблема.
• Вы также должны установить правильные правила брандмауэра на каждом узле, чтобы различать внутренний и публичный трафик

Я думаю, что вы можете запустить его через общедоступную сеть безопасным способом.

Надеюсь, это поможет вам!